Initiative Résilience des infrastructures essentielles face à l’intensification des menaces

Alors que l’instabilité géopolitique accélère l’intensification des cybermenaces visant les infrastructures essentielles (IE), le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a élaboré l’initiative Résilience des infrastructures essentielles face à l’intensification des menaces (RIEFIM) destinée à accélérer immédiatement l’état de préparation des organisations afin de renforcer et de protéger la souveraineté du Canada et ses services essentiels.

Le contexte des menaces en constante évolution est accentué par des risques découlant de l’intelligence artificielle (IA). Avec les progrès rapides de l’IA, la capacité d’automatiser la découverte et l’exploitation de vulnérabilités augmente également et peut permettre d’accroître l’ampleur, la rapidité et les répercussions des cyberincidents.

Les auteurs de cybermenace parrainés par un État ciblent fort probablement les réseaux d’infrastructures essentielles au Canada et dans les pays alliés afin de se préparer à d’éventuelles cyberopérations perturbatrices ou destructrices. Les auteurs de cybermenace non étatiques peuvent également mener des activités de cybercriminalité pour réaliser des gains financiers. Indépendamment de la source de la menace, les organisations des infrastructures essentielles doivent être en mesure de déconnecter et d’isoler rapidement les systèmes touchés face à des menaces graves. À partir de cet état isolé ou déconnecté, le secteur des infrastructures essentielles doit également avoir la capacité nécessaire pour reconstruire et rétablir les services à partir de ressources hors ligne.

Des attaquants déterminés et dotés de moyens sophistiqués pouvant compter sur d’importantes ressources peuvent accéder aux réseaux et aux systèmes, même si ceux-ci sont très bien protégés. Les organisations du secteur des infrastructures essentielles doivent planifier et préparer leurs environnements en prévision d’un avenir où les cybermenaces dépasseront largement les seuils observés à ce jour.

Sur cette page

• Se préparer à faire face aux menaces
• Fonctionnement de l'isolation
• Fonctionner de manière indépendante
• Reprise et restauration
• Points saillants
• Pour en savoir plus

Se préparer à faire face aux menaces

Les infrastructures essentielles modernes présentent un haut niveau d’interconnexion avec des partenaires internationaux et reposent sur une synchronisation assurée par plusieurs chemins de communications, ce qui signifie qu’elles s’appuient sur des réseaux de communications, des services Internet et des flux de données pour fonctionner. Bien que cela soit essentiel pour de nombreuses organisations, puisqu’il en résulte des avantages opérationnels importants, cela présente également une vulnérabilité.

Étant donné que des perturbations aux infrastructures essentielles du Canada peuvent comporter des risques importants, tous les exploitants de services essentiels devraient, à tout le moins :

• être prêts à isoler les systèmes pour une durée pouvant aller jusqu'à trois mois;
• élaborer et tester des plans d'intervention pour leur permettre de fonctionner de manière indépendante;
• concevoir des plans de reconstruction des systèmes pour intervenir en cas de cyberincidents graves.

Dans un contexte où les cybermenaces envers les infrastructures critiques sont exacerbées par l’instabilité géopolitique et l’utilisation croissante de l’intelligence artificielle à des fins malveillantes, l'initiative RIEFIM donne des conseils sur la manière dont les organisations peuvent comprendre les cyberincidents à grande échelle à venir, s’y préparer et s’exercer à y répondre, en s’assurant qu’elles peuvent maintenir les fonctions et les services essentiels, même dans le pire des scénarios.

Cette initiative facilite le travail des propriétaires et des exploitants des secteurs des infrastructures essentielles qui protègent la sécurité et le bien-être économique des Canadiennes et Canadiens.

Les propriétaires et les exploitants des infrastructures essentielles devraient avoir recours à des plans de continuité des activités (PCA) extensibles qui permettront à leurs organisations d'être en mesure de procéder à l'isolation et à la reprise des systèmes.

Fonctionnement de l'isolation

L'isolation consiste à séparer délibérément les réseaux de votre organisation ou des segments spécifiques de réseau de tous les réseaux externes et de l'Internet public. Cette isolation limite l'exposition à des menaces externes et assure la protection et le fonctionnement continus des systèmes et des services essentiels.

L’isolation peut réduire la probabilité qu’un auteur de menace établisse un accès initial. Elle peut également contribuer à contenir une cyberattaque en cours et à assurer le maintien des opérations essentielles. L’isolation vous permet de gagner du temps en attendant que l’infrastructure externe se stabilise et soit sécurisée. Lorsqu’elle est mise en œuvre de manière appropriée, l’isolation permet de réduire considérablement l’exposition à de nouvelles attaques à distance, et elle peut perturber de manière substantielle les capacités de commande et de contrôle de l’adversaire. Elle peut également réduire la capacité de l’auteur de menace à exploiter les vulnérabilités du jour zéro.

Les organisations du secteur des infrastructures essentielles devraient être en mesure de recourir à l'isolation en dernier ressort si tous les autres mécanismes de défense échouent. Il est primordial pour les organisations du secteur des infrastructures essentielles de définir leurs propres mécanismes déclencheurs d'isolation dans un plan d'intervention en cas d'incident (PICI), en sachant que ces déclencheurs varieront d'un secteur d'activité à l'autre.

Afin de mettre en œuvre un plan d’isolation efficace, les organisations doivent bien connaître leurs :

• biens de technologies opérationnelles (TO) et de technologies de l'information (TI),
• limites de TO,
• chemins d’accès distant utilisés par des tiers et des fournisseurs (y compris les services hébergés dans le nuage et intégrés à la boucle de contrôle),
• connectivité externe.

Les organisations pourraient avoir à collaborer avec des fournisseurs et des intégrateurs, et à évaluer les implications réglementaires possibles dans le cadre de leur planification. Sans défenses robustes et sans déclencheurs d'isolation clairement définis, une compromission ciblant une installation peut se propager à travers des réseaux interconnectés, entraînant des interruptions généralisées qui auraient autrement pu être évitées. Les alertes, conseils et bulletins sur les menaces du Centre pour la cybersécurité peuvent aider les organisations dans le cadre de la prise de décision opérationnelle.

Fonctionner de manière indépendante

Les plans de continuité des activités (PCA) traditionnels supposent que les perturbations seront de courte durée. Les organisations du secteur des infrastructures essentielles devraient élaborer des PCA qui tiennent compte de perturbations prolongées, au-delà des scénarios existants, pour s'assurer qu'elles soient en mesure de fonctionner malgré des interruptions de service prolongées, des contraintes liées à la chaîne d'approvisionnement et des contraintes opérationnelles multisite, et ce, en se préparant adéquatement. Ce type de PCA définit une capacité de survivance délibérée, prolongée et multisite en prévision d'une crise généralisée. Ce changement d'approche aidera l'équipe de direction à déterminer combien de temps les opérations peuvent se poursuivre en toute sécurité sans aide externe. Il contribue également à la mise en place d'une capacité pouvant être opérationnelle de façon autonome au fil du temps.

Afin de déterminer les paramètres nécessaires pour des opérations indépendantes pendant l'isolation, les organisations du secteur des infrastructures essentielles doivent :

• comprendre pendant combien de temps les services essentiels peuvent être maintenus et comment les risques de défaillance opérationnelle s'intensifient au fil du temps;
• identifier les seuils de rupture au niveau des opérations;
• déterminer les fonctions jugées essentielles ainsi que celles pouvant être réduites ou interrompues temporairement;
• déterminer comment atténuer les vulnérabilités découlant des dépendances à des facteurs tels que le personnel, l'électricité, le carburant, l'eau, les fournisseurs et les communications;
• déterminer la rapidité avec laquelle les capacités peuvent se détériorer selon les circonstances;
• déterminer comment étendre la survivance en transférant les activités entre les différentes installations;
• prendre en compte la manière d'éviter des décisions qui protègent un site, mais qui pourraient avoir de plus grandes répercussions sur d'autres emplacements.

Au bout du compte, votre organisation doit élaborer un PCA axé sur l'isolation qui englobe ces éléments dans l'éventualité d'une situation de crise. Vous devez vous assurer que votre PICI comprend des déclencheurs d'isolation clairs, des pouvoirs préautorisés et des voies de communication lorsque le recours à l'isolation semble être la seule option.

Le Centre pour la cybersécurité recommande au conseil d'administration ou à la haute direction de votre organisation de discuter de cyberrésilience et de prendre les décisions appropriées en conséquence. Comprendre les paramètres opérationnels de votre organisation pendant une crise potentielle vous informe et vous prépare à réagir rapidement et de façon réfléchie. Cette approche, quant à elle, peut réduire les répercussions sur la sécurité publique, minimiser l'exposition aux risques juridiques et atténuer les risques à la réputation. L'élaboration de ce plan de continuité des activités ciblé devrait être traitée comme une priorité au niveau de la gouvernance, appuyée par des mécanismes de production de rapports transparents et des objectifs clairement définis.

Reprise et restauration

Une restauration complète des opérations pour l'ensemble des systèmes, des services et des fonctions ne devrait avoir lieu qu'après la réalisation des vérifications requises en matière de performance, de sécurité et d'interopérabilité, conformément aux normes applicables dans l'industrie.

Pour soutenir une restauration résiliente, les organisations doivent être en mesure de faire ce qui suit :

• conserver des copies hors ligne des micrologiciels, des configurations et de la documentation pour s’assurer que les systèmes peuvent être récupérés, même si d’autres services sont touchés;
• identifier les principales composantes TI et TO présentant des délais d’approvisionnement longs ou une dépendance à une source unique (par exemple, des pièces de rechange matérielles ainsi que des images de micrologiciel) et maintenir un niveau de redondance approprié;
  • tenir compte d’autres stratégies d’approvisionnement pour ces composantes;
  • évaluer les situations où une cybercompromission pourrait causer des dommages physiques à des composantes difficiles ou impossibles à remplacer;
  • accorder la priorité à une surveillance accrue, à des contrôles d’intégrité et des mesures de protection supplémentaires pour ces biens;
• prévoir une reconstruction complète des systèmes au moyen de copies et de sauvegardes immuables hors ligne de confiance, conformément aux conseils en matière de cybersécurité sur la préparation en cas d'urgence applicables aux perturbations graves et prolongées;
• confirmer l’intégrité des systèmes avant de les reconnecter, en effectuant des vérifications approfondies comme la chasse aux cybermenaces (y compris l’identification d’une activité d’exploitation des ressources locales), la vérification des correctifs et de la configuration, et en s’appuyant sur des directives supplémentaires, au besoin;
• vérifier périodiquement les procédures de restauration par le biais de PICI établis.

Points saillants

Dans un contexte de cybermenaces en pleine expansion, exacerbé par l’instabilité géopolitique et les technologies émergentes comme l’intelligence artificielle, les perturbations prolongées touchant plusieurs secteurs des infrastructures essentielles ne sont plus seulement hypothétiques. L’isolation repose sur des capacités préétablies, pas sur l’improvisation. Les organisations du secteur des infrastructures essentielles doivent mettre en œuvre des mesures de cybersécurité robustes, notamment :

• le renforcement des systèmes
• la surveillance des réseaux
• la revue et la mise à l'essai de PICI et de PCA axés sur l'isolation
• l'application d'autres mesures de cybersécurité de base décrites dans les Objectifs relatifs à l'état de préparation en matière de cybersécurité (OEPC)

La préparation ne peut pas attendre. Le moment d'agir, c'est maintenant. Les organisations qui adoptent une planification proactive et structurée de leurs systèmes sont les mieux positionnées pour soutenir la continuité des services essentiels en contexte de cyberperturbations prolongées.

Pour en savoir plus

• Élaborer un plan d'intervention en cas d'incident (ITSAP.40.003)
• Élaboration de votre plan de continuité des activités (ITSAP.10.005)
• Élaboration d'un plan de reprise informatique personnalisé (ITSAP.40.004)
• Meilleure cyberrésilience grâce à une préparation en cas d'urgence (ITSM.10.014)
• L’intelligence artificielle de pointe (ITSAP.10.050)
• Objectifs relatifs à l'état de préparation en matière de cybersécurité : Sécuriser les systèmes les plus essentiels
• Boîte à outils des objectifs relatifs à l'état de préparation en matière de cybersécurité intersectoriels
• Conseils conjoints concernant les principes de connectivité sécurisée pour les technologies opérationnelles
• Bulletin conjoint sur la création et le maintien d'une position définitive sur l'architecture de technologie opérationnelle
• Conseils connexes provenant de partenaires internationaux
  • Cyber Security Centre de l'Australie CI Fortify: Guidance for Australian critical infrastructure service continuity and resilience (en anglais seulement)
  • National Cyber Security Centre du Royaume-Uni How to prepare for and plan your organisation's response to severe cyber threat: a guide for CNI (en anglais seulement)